Geekly articles weekly

Comodo revoga certificados sem motivo

Você pode imaginar que uma grande empresa lidará com a decepção de seus clientes, especialmente se essa empresa se posicionar como garantidora de segurança? Então, eu não podia até recentemente. Este artigo é um aviso que você pensa primeiro dez vezes antes de comprar um certificado para assinar um código da Comodo.

Devido ao dever do meu trabalho (administração do sistema), faço vários programas úteis que uso ativamente no meu próprio trabalho e, ao mesmo tempo, publico gratuitamente para todos. Cerca de três anos atrás, havia a necessidade de assinar programas; caso contrário, nem todos os meus clientes e usuários poderiam baixá-los sem problemas apenas porque não foram assinados. Por um longo tempo, a assinatura é uma prática normal e não importa o quão seguro é o programa, mas se não for assinado, definitivamente terá mais atenção:

  1. O navegador coleta estatísticas sobre a frequência com que o arquivo é baixado e, quando não é assinado, no estágio inicial pode até ser bloqueado "apenas por precaução" e exigir que o usuário confirme explicitamente o salvamento. Os algoritmos são diferentes, às vezes o domínio é considerado confiável, mas, em geral, é uma assinatura válida que é uma confirmação de segurança.
  2. Após o download do arquivo, o antivírus é exibido e imediatamente antes do início do SO. Para antivírus, a assinatura também é importante, é fácil rastrear no virustotal e, como no sistema operacional, a partir do Win10, o arquivo com o certificado revogado é imediatamente bloqueado e não pode ser iniciado pelo explorer. Além disso, em algumas organizações é geralmente proibido executar código não assinado (configurado pelo sistema), e isso é justificado - todos os desenvolvedores normais garantem que seus programas possam ser verificados sem esforço adicional.

Em geral, a direção escolhida é a correta - na medida do possível, torne a Internet o mais segura possível para usuários inexperientes. No entanto, a própria implementação está longe de ser ideal. Um desenvolvedor simples não pode apenas obter um certificado; ele precisa comprá-lo de empresas que monopolizam esse mercado e ditam suas condições nele. Mas e se os programas forem gratuitos? Isso não incomoda ninguém. Em seguida, o desenvolvedor tem uma opção - provar constantemente a segurança de seus programas, sacrificando a conveniência dos usuários ou comprar um certificado. Há três anos, a StartCom era lucrativa, que agora vive no fundo do oceano, nunca foi um problema. No momento, a Comodo fornece o preço mínimo, mas, como se vê, existe um problema - para eles, o desenvolvedor não é literalmente ninguém e jogar é uma prática normal.

Depois de quase um ano de uso do certificado, que comprei em meados de 2018, de repente, sem aviso prévio por correio ou telefone, a Comodo revogou-o sem explicação. O suporte técnico funciona mal para eles - eles podem não responder por uma semana, mas ainda conseguiram descobrir o principal motivo - consideraram que o malware foi assinado com o certificado emitido. E seria possível encerrar a história se não fosse por uma coisa: nunca criei malware, e meus próprios métodos de proteção possibilitam afirmar que é impossível roubar a chave privada de mim. Somente o Comodo possui uma cópia da chave, porque eles são emitidos sem um CSR. E então - quase duas semanas de tentativas frustradas de descobrir evidências elementares. A empresa, que supostamente garante a segurança na área de segurança, recusou categoricamente fornecer evidências de uma violação de suas regras.

Desde o último bate-papo com suporte técnico
Você 01:20
Você escreveu "Nós nos esforçamos para responder aos tíquetes de suporte padrão no mesmo dia útil". mas estou esperando uma resposta há uma semana.

Vinson 01:20
Olá, Bem-vindo à validação SSL do Sectigo!
Deixe-me verificar o status do seu caso, aguarde um minuto.
Eu verifiquei e o pedido foi revogado devido a malware / fraude / phishing por nosso funcionário superior.

Você 01:28
Estou certo de que este é o seu erro, por isso peço provas.
Eu nunca tive malware / fraude / phishing.

Vinson 01:30
Sinto muito, Alexander. Verifiquei duas vezes e o pedido foi revogado devido a malware / fraude / phishing pelo nosso funcionário superior.

Você 01:31
Em qual arquivo você viu o vírus? Existe um link para virustotal? Não aceito sua resposta porque não há provas nela. Paguei dinheiro por esse certificado e tenho o direito de saber por que meu dinheiro é retirado de mim à força.
Se você não pode fornecer prova, o certificado foi revogado de forma injusta e deve devolver o dinheiro. Caso contrário, qual é o significado do seu trabalho se você revogar certificados sem prova?

Vinson 01:34
Eu entendo sua preocupação. O certificado de assinatura de código foi relatado para a distribuição de malware. De acordo com as diretrizes do setor: O Sectigo como uma autoridade de certificação é necessário para revogar o certificado.
Também de acordo com a política de reembolso, não poderemos reembolsar após 30 dias a partir da data de emissão.

Você 01:35
Por que você acha que isso não é um erro ou um falso positivo?

Vinson 01:36
Sinto muito, Alexander. Conforme nosso relatório de altos funcionários, o pedido foi revogado devido a malware / fraude / phishing.

Você 01:37
Não precisa se desculpar, paguei o dinheiro e quero ver a prova de que violei suas regras. É simples
Paguei por três anos, então você apresentou uma razão e me deixou sem um certificado e sem prova de minha culpa.

Vinson 01:43
Eu entendo sua preocupação. O certificado de assinatura de código foi relatado para a distribuição de malware. De acordo com as diretrizes do setor: O Sectigo como uma autoridade de certificação é necessário para revogar o certificado.

Você 01:45
Parece que você não entende. Onde você viu o tribunal que aprova a sentença sem prova? Você fez exatamente isso. Eu nunca tive malware. Por que você não fornece provas, se for? Que prova específica é uma revogação de certificado?

Vinson 01:46
Sinto muito, Alexander. Conforme nosso relatório de altos funcionários, o pedido foi revogado devido a malware / fraude / phishing.

Você 01:47
Quem posso descobrir o verdadeiro motivo da revogação do certificado?
Se você não puder responder, diga-me com quem entrar em contato?

Vinson 01:48
Envie um tíquete novamente usando o link abaixo para receber uma resposta o mais cedo possível.
sectigo.com/support-ticket

Você 01:48
Obrigada

Esse resultado não é único, o tempo todo nas negociações no bate-papo, ao mesmo tempo em que respondem a mesma coisa, ou não respondem a tickets, ou as respostas são igualmente inúteis.

Estou criando um ticket novamente
O meu pedido:
Exijo prova de que violei uma regra que levou à revogação. Comprei um certificado e quero saber por que meu dinheiro foi retirado de mim.
"Malware / fraude / phishing" não é a resposta! Em qual arquivo você viu o vírus? Existe um link para virustotal? Forneça prova ou devolva o dinheiro. Estou cansado de escrever suporte técnico e estou esperando há mais de uma semana.
Obrigada

A resposta deles:
O certificado de assinatura de código foi relatado para a distribuição de malware. De acordo com as diretrizes do setor: O Sectigo como uma autoridade de certificação é necessário para revogar o certificado.

A esperança de que nenhum macaco me responda desaparece completamente. Um esquema interessante está surgindo:

  1. Nós vendemos um certificado.
  2. Estamos aguardando mais de seis meses para que, através do PayPal, seja impossível abrir uma disputa.
  3. Lembramos e aguardamos o próximo pedido. Lucro!

Como não tenho outros métodos de influência sobre eles, só posso divulgar sua fraude. Comprando um certificado da Comodo, eles também são Sectigo, você pode encontrar a mesma situação.

Atualização nº 1 de 9 de junho:

Hoje, notifiquei a CodeSignCert (a empresa através da qual comprei o certificado) que, como eles pararam de responder, levantei a situação para comentários públicos com referência a este artigo. Depois de um tempo, eles finalmente enviaram uma captura de tela do virustotal, onde o hash do programa EzvitUpd estava visível:
VirusTotal - d92299c3f7791f0ebb7a6975f4295792fbbf75440cb1f47ef9190f2a4731d425

Minha avaliação da situação:
Posso dizer com confiança que este é um falso positivo. Sinais:

  1. Designação genérica na maioria das operações.
  2. A ausência de pontos positivos para líderes de antivírus.

É difícil dizer o que exatamente causou essa reação dos antivírus, mas como o arquivo está muito desatualizado (foi criado quase um ano atrás), não salvei a versão 1.6.1 para recriar o arquivo binário. No entanto, eu tenho a versão mais recente 1.6.5 e, dada a imutabilidade do ramo principal, as alterações foram mínimas, mas não há esse falso positivo nele:
VirusTotal - c247d8c30eff4449c49dfc244040fc48bce4bba3e0890799de9f83e7a59310eb

O CodeSignCert é notificado de um falso positivo. Após o surgimento de mais resultados das negociações, o artigo será atualizado até que a situação seja completamente resolvida.

Atualização # 2 de 11 de junho:

O CodeSignCert estabeleceu uma condição quase impossível - eles querem que o VirusTotal seja 100% limpo de quaisquer pontos positivos. Tecnicamente, isso é quase impossível, porque nem todos os antivírus respondem ao feedback; para alguns, até o correio não funciona.

Nos comentários, a gogetssl comprometeu-se a ajudar e prometeu "Symantec Code Signing por um período de 3 anos" e, em seguida, em mensagens pessoais, recusou-se a cumprir a promessa. Ninguém usou os canais ou pediu desculpas.

No momento em que o link foi fornecido, havia 17 falsos positivos; no momento da última verificação, 15 antivírus corrigiram seu erro.

Atualização 23 de junho # 3:

Quase um mês após o início do processo, a CodeSignCert concordou com um reembolso. As correspondências ocorreram de maneira extremamente lenta, pois não consideravam importantes as necessidades dos clientes e não responderam por muito tempo, aguardando instruções da Comodo. O próprio Comodo não fez nada para remediar a situação, não compensou os custos e não se desculpou.

Os revendedores costumam dizer que as regras do fórum da CA / B são as mesmas para todas as autoridades de certificação e são necessárias para revogar todos os certificados para os quais há aspectos positivos. Isso é uma mentira descarada, pois consigo encontrar tantos arquivos milagrosamente excluídos das regras, por exemplo:
Comodo - 5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa
Symantec - 1d894f49930d7dd68277fe86e1972cb2bdee575546df92860b64b5d4be456cc7
DigiCert - 6baac60a703445e78ed0f55c032fbdf3b03692e61bd1fe8d6ad1243e240ea46e

Os comentários são desnecessários, as conclusões podem ser tiradas independentemente.

Source: https://habr.com/ru/post/pt455236/

More articles:


All Articles